lojax-campaign - RunkIntel

# LoJax Campaign > [!high] Primeiro rootkit UEFI em ambiente real — persistência além do sistema operacional > A campanha LoJax marcou um ponto de inflexão na segurança de endpoints: em setembro de 2018, a ESET revelou que o [[g0007-apt28]] (APT28/Fancy Bear) havia implantado o [[s0397-lojax]] — o primeiro rootkit UEFI documentado em uso real — em sistemas governamentais nos Bálcãs e Europa Central. O implante sobrevive à reinstalação do sistema operacional e à troca do disco rígido, sendo removível apenas com reflash do firmware UEFI ou substituição física da placa-mãe. ## Visão Geral A campanha LoJax representa uma evolução significativa nas capacidades ofensivas do [[g0007-apt28]], demonstrando que grupos APT de nível estatal haviam cruzado a barreira teórica do firmware UEFI para implantes práticos em operações reais. O [[s0397-lojax]] é derivado do legítimo software LoJack (Absolute Computrace), que os fabricantes instalam no firmware UEFI de laptops como ferramenta anti-roubo. O APT28 modificou este software para servir como implante persistente controlado por seus próprios servidores C2. A persistência proporcionada por um implante UEFI é fundamentalmente diferente de qualquer outra técnica de persistência convencional: o UEFI executa antes do sistema operacional, antes do bootloader, antes de qualquer solução de segurança de endpoint. Um implante UEFI sobrevive à formatação completa do disco, à reinstalação do Windows, ao factory reset — e seria removido apenas pelo reflash do firmware UEFI pelo fabricante (processo complexo que pode "tijolar" o dispositivo se feito incorretamente) ou pela substituição física da placa-mãe. Para uma vítima que não sabe o que procurar, é práticamente invisível e irremovível com ferramentas convencionais. Para o contexto brasileiro, o LoJax demonstra o nível de sofisticação que grupos APT estatais como o [[g0007-apt28]] já alcançaram. Organizações governamentais e de [[defense|defesa]] que podem ser alvos de operações de espionagem de longo prazo — como ministérios, embaixadas e empresas de setores estratégicos — precisam considerar verificação de integridade de firmware como parte de sua postura de segurança, especialmente em dispositivos que passaram por manutenção externa ou viagens internacionais. ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Bootkit (UEFI) | [[t1542-003-bootkit\|T1542.003]] | Implante no firmware UEFI sobrevivendo a reinstalações | | Pre-OS Boot | [[t1542-pre-os-boot\|T1542]] | Execução antes do sistema operacional inicializar | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Código ofuscado para dificultar análise | | Modify System Image | [[t1601-modify-system-image\|T1601]] | Modificação do firmware UEFI/flash | ## Cronologia | Data | Evento | |------|--------| | 2017-01 | Primeiros sinais de atividade LoJax em sistemas nos Bálcãs | | 2018-09-27 | ESET pública descoberta do LoJax — primeiro UEFI rootkit real | | 2018-09-27 | Atribuição ao APT28 (Sednit/Fancy Bear) confirmada | | 2019 | Microsoft lança Secured-Core PCs como resposta a ameaças de firmware | | 2021 | UEFI Secure Boot fortalecido no Windows 11 | ## Referências - [1](https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/) ESET - LoJax: First UEFI Rootkit Found in the Wild (2018) - [2](https://attack.mitre.org/software/S0397/) MITRE ATT&CK - LoJax (S0397) - [3](https://attack.mitre.org/groups/G0007/) MITRE ATT&CK - APT28 (G0007) - [4](https://securelist.com/lojax-the-first-uefi-rootkit-found-in-the-wild/88043/) Kaspersky - Analysis of LoJax UEFI Rootkit (2018)